Un cambio clave que debemos destacar desde el principio es que la ciberseguridad cada día se aleja de lo meramente técnico, que compete solamente a las personas que trabajan en tecnología. Tampoco es un tema que podamos delegar por completo en un proveedor de servicios, en una herramienta o en el equipo de ciberseguridad. La ciberseguridad y la prevención del fraude se han convertido en una condición básica para vivir y trabajar en el mundo digital con garantías. Y eso nos incluye a todos: en la empresa, en casa, en la administración pública, en una pyme, en una ONG, en una universidad, y en cualquier actividad y entorno en el que nos encontremos.
Cuando hablamos de ciberseguridad, hablamos de confianza. La confianza de clientes, empleados, socios, inversores y ciudadanos. Y la confianza se puede ganar durante años y perderse en horas si un ciber incidente se gestiona mal o si un fraude tiene impacto en personas o en colectivos vulnerables. Por ello, hablar de ciberseguridad y fraude en el contexto del Día del Internet Seguro es más que pertinente: es necesario.
La inteligencia artificial está cambiando el tablero de juego a una velocidad asombrosa. En positivo, porque permite automatizar defensas, detectar anomalías y ayudar a responder con mayor rapidez. Y también negativamente: hoy una estafa puede sonar impecable, llegar en el idioma correcto, con el tono adecuado, y usando la identidad de alguien en quien confiamos. La IA ha hecho el fraude más creíble, con mayor alcance y más rápido.
Los ultrafalsos (deepfakes) de voz e imagen, la suplantación de altos ejecutivos, los correos y mensajes que imitan perfectamente a proveedores o bancos, e incluso los correos maliciosos (phishing) hiperpersonalizados, se han vuelto cada vez más accesibles gracias al ciber crimen como servicio. No hablamos solo de volumen, sino también de verosimilitud. Cuando el engaño parece real, el riesgo reputacional deja de ser una consecuencia y pasa a ser parte del objetivo.
Aquí quiero dejar un mensaje claro: la primera línea de defensa somos las personas.
Cada uno de nosotros puede marcar la diferencia para protegernos frente a las ciberamenazas. En una empresa y en nuestra vida personal, muchas brechas y fraudes se inician por acciones cotidianas como abrir un enlace, descargar un archivo, aceptar un inicio de sesión o aprobar una tarea urgente. La idea no es crear culpabilidad, sino recordar que si los riesgos entran por la acción humana, la defensa también debe ser humana.
El gobierno de la ciberseguridad no es burocracia: es claridad y responsabilidad.
Además de los buenos hábitos de higiene digital que debemos incorporar a nuestras rutinas, es necesario crear una estructura que sustente esta cultura en la empresa. Cuando hablamos de gobierno en ciberseguridad, hablamos de responder a preguntas concretas:
- ¿Quién decide qué riesgos aceptamos y cuáles no? ¿Cuál es nuestro apetito de riesgo?
- ¿Qué controles protegen los procesos más críticos (pagos, identidad, datos, proveedores)?
- ¿Cómo medimos si estamos mejorando y con qué métricas?
- ¿Qué hacemos el día que algo ocurre, qué protocolos y normativas nos gobiernan?
- ¿Cómo recuperamos el negocio lo antes posible?
Las organizaciones mejor preparadas suelen hacer tres cosas con disciplina:
- Tratar el riesgo digital como riesgo de negocio: Se discute en comités ejecutivos y consejos, con métricas claras: exposición, tendencias, tiempos de respuesta, incidentes evitados, simulacros realizados, y criticidad de todos los terceros. No para asustar, sino para dirigir y emplear bien los recursos.
- Conectar ciberseguridad y fraude: un ataque a una cuenta puede desencadenar fraude, y un fraude puede ser señal de un compromiso mayor. Una visión holística y coordinada evita puntos ciegos y proporciona información transversal para actuar.
- Invertir en estrategia, gobierno, procesos y personas, no solo en tecnología: herramientas sin procedimiento y sin entrenamiento crean una falsa sensación de seguridad. La ciberresiliencia se construye con roles claros, simulacros, planes de crisis y colaboración entre áreas.
El ecosistema de confianza incluye a terceros y a la IA, con el equipo de agentes que trabajará codo con codo con nosotros.
Dependemos cada vez más de proveedores, plataformas en la nube, SaaS, socios tecnológicos y servicios externalizados. En este escenario, el fraude y la reputación pueden escalar muy rápido. Si un tercero falla, el impacto reputacional lo sufre quien da la cara al cliente.
Por eso, la gestión de terceros no puede quedarse en un certificado o en cumplir una lista de requerimientos. Debe existir un inventario vivo, clasificación por criticidad, requisitos mínimos, evidencias, y capacidad de respuesta coordinada si ocurre cualquier ciberincidente.
Lo mismo ocurre con la IA. Adoptarla con gobierno es avanzar con seguridad: se requiere inventario de casos de uso, análisis de riesgos, controles de datos, revisión contractual, y límites claros sobre qué se automatiza, dónde se incluyen los agentes de IA y qué debe supervisarse.
Mi mensaje final, especialmente en el marco del Día del Internet Seguro, es sencillo y humano:
La ciberseguridad es responsabilidad compartida de todos los integrantes de una organización.
Las organizaciones deben gobernar, invertir y prepararse en procesos y talento para una buena adopción tecnológica.
Cada uno de nosotros puede y debe ser la primera línea de defensa frente a cualquier ciberamenaza.
En conclusión, la ciberseguridad y el fraude no se reducen funcionando con miedo: se construyen con confianza. Y la confianza, como todo lo valioso, se cuida entre todos.
